Wenn man denkt der momentane Lauf ist nicht zu toppen.. dann

""Microsoft verrät Windows-Bugs zuerst der NSA""

und MS bestätigt dieses ..

http://www.golem.de/news/richard-stallman-microsoft-verraet-windows-bugs-zuerst-der-nsa-1306-100091.html

Windows halt.
Who cares?

Andeutungen gab es schon in einer Meldung vor 2 Wochen.
http://www.golem.de/news/nsa-geheimdienste-lassen-sich-sicherheitsluecken-liefern-1306-99821.html

Ich glaube nicht, dass Microsoft das freiwillig tut. Da wird sicher ordentlich Druck seitens der NSA gemacht.

Ich glaube nicht, dass Microsoft das freiwillig tut. Da wird sicher ordentlich Druck seitens der NSA gemacht.Das wurde vorher schon begründet. Wahrscheinlich schleusen Geheimdienst wie NSA einfach Personal in die Firmen ein. Diese müssen nur an der richtigen Position gelangen und schon können sie Daten kopieren, fertig.
Dazu ein 2. Konto bei einer Bank und deren 2 Gehälter sind sicher. Vorteil hierbei ist, dass die Führungsebene keine Schuld an dem "Disaster" trifft. Sie wussten nicht, was sie sich in die Firma geholt haben.
Dazu gabs auch einen Artikel bei Golem, aber den such ich jetzt nicht raus. ;)

Naja, bei Linux ist einfacher, da kann die NSA das direkt reinbauen. Nicht gerade wenig Sicherheitsfunktionen in Linux kommen von der NSA. Ob die alle bis ins Detail geprüft sind? Ich würde dafür nicht meine Hand ins Feuer legen.

Hier stand Mist^^

Ob die alle bis ins Detail geprüft sind? Ich würde dafür nicht meine Hand ins Feuer legen.

Nach dieser Meldung wird es jetzt wahrscheinlicher. ;)

Da würde ich mich dann aber fragen wie man das bewerkstelligen will. Code auf Backdoors etc. prüfen ist ja nun alles andere als trivial.

Dazu kommen auch noch so "lustige" Sachen wie:

http://lists.debian.org/debian-devel/2013/06/msg00720.html

Und dazu war nicht mal der Sourcecode nötig.

Da würde ich mich dann aber fragen wie man das bewerkstelligen will.


Ne. Linux ist da ganz anders.

Zum einen gibt es keine Unternehmung, welche die NSA irgendwie verpflichten könnte Backdoors einzubauen.
Zum anderen gibt es auch keine Firma, welche Sicherheits Bugs zentral zurück halten könnte und nur der NSA mitteilt.


Zum anderen, wer dort eine hypothetische Backdoor in Linux einbaut, muss ja immer damit rechnen, dass jemand diese Backdoor erkennt und diese gerade nicht öffentlich macht und selbst ausnutzt.

Damit ist das Risiko enorm hoch, dass solch eine platzierte Backdoor sich gegen die Nation selbst richtet, die die Backdoor eingebaut hat. Ein Risiko welches bei Windows faktisch gar nicht besteht.

Nehmen wir an die NSA schafft es irgendwie Linus Torvalds mit magnetischen Strahlen so zu beeinflussen, dass er einen Patch mit einer Backdoor durchwinkt, dann ist diese Backdoor im Kernel und zwar in jedem. Auch in den Linux Systemen der USA. Nun wird diese Backdoor im Sourcecode nun vom ständig paranoiden chinesischen Auslandsgeheimdienst erkannt, aber nicht gemeldet. ....

Nein, es geht gar nicht um Backdoors. Es geht um Fehler welche ausgenutzt werden, man muss sich nur an Stuxnet erinnern und den gigantischen Windows Bug der dort ausgenutzt wurde.

Bekannte Fehler verheimlichen geht nur, wenn diese Fehler zentral und geheim gehalten werden, also in dem Fall nur von MS selbst.

Bei Linux gibt es aber nichts vergleichbares zu MS.

Das Problem das oben ausgenutzt wird, steckt im Prinzip Window, im Prinzip Closed-Source selbst.

@Topic
Was ich am Timing an der ganzen Sache interessant finde ist, dass gerade in den USA gegen James Cartwright im Feld Stuxnet prozessiert wird und schwups die Microsoft NSA Story zu Tage tritt. Schon seltsam.

Zum einen gibt es keine Unternehmung, welche die NSA irgendwie verpflichten könnte Backdoors einzubauen.

Wie gesagt, die NSA hat bereits ausreichend viel Code in Linux beigesteuert. Daher die Frage, ob der auch wirklich geprüft ist. Denn dieses "jeder kann sich den angucken, darum ist er sicherer", stimmt nämlich erst, wenn das auch jemand tut. Bei der rasanten Entwicklung im Linux-Bereich kann ich mir das nicht vorstellen. Sonst würden nicht fast täglich "RHN Errata Alerts" von RedHat in meinem Postfach landen.

Weiterhin ist unter anderem RedHat ein ziemlich großer Anbieter von Linux-Server Software. Sitz in den USA... mit eigenem rumgepatchtem Kernel und diversen anderen Patchsets. Guckt sich jemand die so genau an? Ich denke nicht.

Klar besteht die Gefahr auch "anders herum", aber wenn man weiß wo es ist, kann man es für "seine Systeme" ja wieder rauspatchen. Man weiß ja immerhin wie es funktioniert. Und auch ohne Backdoors findet man schnell mögliche Einfallstore. Siehe Debian-Mailinglist.

Ich persönlich würde demnach nicht blind auf OpenSource vertrauen nur weil es OpenSource ist.

Weiterhin ist unter anderem RedHat ein ziemlich großer Anbieter von Linux-Server Software. Sitz in den USA... mit eigenem rumgepatchtem Kernel und diversen anderen Patchsets. Guckt sich jemand die so genau an? Ich denke nicht.

Klar besteht die Gefahr auch "anders herum", aber wenn man weiß wo es ist, kann man es für "seine Systeme" ja wieder rauspatchen. Man weiß ja immerhin wie es funktioniert. Und auch ohne Backdoors findet man schnell mögliche Einfallstore. Siehe Debian-Mailinglist.




Aber Red Hat macht kein Linux. Auch Red Hat hat keinen direkten Zugang zu den Kernel Repository.

Nein, Rauspatchen wäre keine Option, weil diese keinen Zugriff auf die nationalen Installationen hat.
Solch ein Geheimdienst könnte höchstens die eigenen Systeme patchen. Aber das würde ja keinen Nutzen haben, wenn die Systeme im Land immer noch die Backdoor hätten und damit offen für jeden Entdecker der Backdoor.

Die Debian Mailinnglists und auch andere Instanzen sind ja genau das Gegenteil dessen was dort MS macht. Es sind ja genau Organe, die sofort alle bekannten Lücken publizieren und damit für Sicherheit sorgen.

Das Problem steckt im System Closed-Source. Was nicht automatisch bedeutet, dass OpenSource sicher ist. Aber OpenSource kann prinzipiell diese Schwachstelle ausschließen, die in Closed Source systemisch ist. Security by Obscurity funktioniert eben nur bei Closed Source. Die Intransparenz ist eingebaut im Lizenzvertrag.

Wie gesagt, die NSA hat bereits ausreichend viel Code in Linux beigesteuert. Daher die Frage, ob der auch wirklich geprüft ist.

es ist sicher nicht alles geprüft was so in den repos rumliegt aber bei kernkomponenten wie dem kernel oder wichtiger basis-libs kannst du davon ausgehen, dass jeder code von mehreren leuten gesehen wird bis er in einer stable-version landet. das schützt natürlich nicht vor bugs die sich irgendwie exploiten lassen aber offensichtliche backdoors haben da keine chance.

Naja viele Leute gucken drüber da ein kostenloses System dabei rauskommt... unbezahlt ... logisch das die kein Auge zudrücken wenns doch Geld von einer Seite her gibt ...

Naja viele Leute gucken drüber da ein kostenloses System dabei rauskommt... unbezahlt ... ...

Du hast eine Vorstellung.

Natürlich werden die Leute bezahlt für ihre Leistung. Was meinst du, wie solch ein Kernel entsteht?

Na ja. Linus Torvalds vielleicht nicht, der verzichtet immer auf seine Bezahlung, weil er persönlich eh schon 1/2 Milliarde Dollar schwer ist inzwischen.

Wenn 9x % der US Bürger Windows verwenden (vllt sogar im Weißen Haus ;)) macht es schon Sinn diese Lücken zuerst der NSA einzugestehen.

Würdet ihr hierdurch nun Responsible Disclosure bei Microsoft (und anderen US-Firmen) als etwas unethisches einstufen?

Die Weitergabe von Details zu Sicherheitslücken vom Hersteller der jeweiligen Software an Geheimdienste oder generell an dritte hat nichts mit Verantwortung zu tun (eher das genauer Gegenteil), daher versteh ich deine Frage nicht.

Aber Red Hat macht kein Linux. Auch Red Hat hat keinen direkten Zugang zu den Kernel Repository.


Linux ist GNU und jeder kann den Quellcode runterladen. Unabhängig vom offiziellen Linux Kernel könnte natürlich Redhat einen eigenen gepatchten Kernel als Binary mitliefern. Wenn man will, das Geld und die Macht hat, wird es wahrscheinlich auch viele Möglichkeiten geben, Druck auf gewisse VIPs im offiziellen Linux Entwicklungsprozess auszuüben oder einfach zu bestechen.

Die Intransparenz ist eingebaut im Lizenzvertrag.

Achso... Das wird natürlich die kriminelle Szene oder Geheimdienste sofort davon abhalten :freak:

Da würde ich mich dann aber fragen wie man das bewerkstelligen will. Code auf Backdoors etc. prüfen ist ja nun alles andere als trivial.Das Problem dürfte eher darin liegen, dass in den Zeilen nicht stehen wird "Hier fängt unsere Backdoor an", sondern Zeug, was irgendwie nützlich aussieht, auch wenn keiner den echten Nutzen darin erkennen kann. Fummelt oder entfernt jemand diese Funktion, geht plötzlich nichts, weshalb es wohl einfach drinne gelassen wird. Irgendwer wird schon noch erkennen, wofür es eigentlich da ist.
http://de.wikipedia.org/wiki/International_Obfuscated_C_Code_Contest

Linux ist GNU und jeder kann den Quellcode runterladen. Unabhängig vom offiziellen Linux Kernel könnte natürlich Redhat einen eigenen gepatchten Kernel als Binary mitliefern. Wenn man will, das Geld und die Macht hat, wird es wahrscheinlich auch viele Möglichkeiten geben, Druck auf gewisse VIPs im offiziellen Linux Entwicklungsprozess auszuüben oder einfach zu bestechen.


Das ist halt der Unterschied.

Auf der einen Seite hast du den konkreten Fall und auf der anderern Seite ein zusammen fantastisiertes Etwas.

Es hindert auch dich niemand daran in der Kernel Entwicklung Know How aufzubauen und dir die Kernel Sourcen selbst anzusehen, um dann diese für dich zu kompilieren.

Eine Qualität die du niemals mit Closed Source Produkten erreichen wirst.
Jetzt konnte man bisher sagen ja, dass ist ein theoretisches Problem. Das ist es nun halt nichtmehr.

Linux ist GNU […]

http://img594.imageshack.us/img594/8471/3s0n.jpg

GPL, Entschuldigung! ;)

Das ist halt der Unterschied.

Auf der einen Seite hast du den konkreten Fall und auf der anderern Seite ein zusammen fantastisiertes Etwas.

Es hindert auch dich niemand daran in der Kernel Entwicklung Know How aufzubauen und dir die Kernel Sourcen selbst anzusehen, um dann diese für dich zu kompilieren.

Eine Qualität die du niemals mit Closed Source Produkten erreichen wirst.
Jetzt konnte man bisher sagen ja, dass ist ein theoretisches Problem. Das ist es nun halt nichtmehr.

Was ist ein konkreter Fall und was ist fantasiert? Du redest immer von Security bei Obscurity bei Closed Souce, aber genau auf dieser Obscurity basieren immer all deine Diskussionen (von Argumenten will ich gar nicht bei dir sprechen). Nur weil Microsoft die Zusammenarbeit zugibt, um Transparenz zu schaffen und andere das nicht machen, heißt das nicht im Umkehrschluss, dass andere Hersteller - auch Open Source - nicht mit der NSA zusammenarbeiten, weil keine Informationen darüber bekannt sind.

Was ist ein konkreter Fall und was ist fantasiert? Du redest immer von Security bei Obscurity bei Closed Souce, aber genau auf dieser Obscurity basieren immer all deine Diskussionen (von Argumenten will ich gar nicht bei dir sprechen). Nur weil Microsoft die Zusammenarbeit zugibt, um Transparenz zu schaffen und andere das nicht machen, heißt das nicht im Umkehrschluss, dass andere Hersteller - auch Open Source - nicht mit der NSA zusammenarbeiten, weil keine Informationen darüber bekannt sind.

Der konkrete Fall ist Microsoft und Microsoft gibt das nicht so ohne weiteres zu, sondern sie wurden schlicht dessen vorgeführt und zwar von dem Herren drei Postings oben, der sich mit der Hand den Schädel hält.

Der fantasierte Fall ist dein Konstrukt indem du ein Szenario konstruierst in welchen Linus Torvalds und alle Wissenden, unter anderem auch Richard Stallman, bestochen und/oder erpresst werden.

Ich sage nicht, dass Open Source sicher ist, aber es ist wenigstens eine Chance. Als Reaktion auf den momentanen Aufruhr wird OpenSource ganz zwangsläufig noch weiter an Bedeutung gewinnen.

Beim konstruierten Fall ging es um das mögliche vorsätzliche Einschleusen von Hintertüren durch Informanten. Abwegig halte ich nur eine rosa rote Brille von guter und böser Software.

Was Stallmann enthüllt haben will und was Microsoft zugegeben hat ist, dass man gefundene Lücken ggf. zuerst der NSA mitteilt bevor man diese stopft. Das kann überall woanders auch so sein, auch bei Open Source. Nur weil was Open Source ist, kann bei professioneller Entwicklung nicht jede beliebige Person etwas im Trunk einchecken.

Auf der anderen Seite gehst du immer davon aus, dass ein gutmütiger Idealist einen Bug findet und diesen fixen will. Halte ich persönlich für sehr naiv. Nur weil ein Bug nicht offiziell bekannt und gefixt ist, heißt das nicht, dass die kriminelle Szene, Geheimdienste oder Wirtschaftsspionage Szene nicht schon länger davon wissen kann.

Auf der anderen Seite gehst du immer davon aus, dass ein gutmütiger Idealist einen Bug findet und diesen fixen will. Halte ich persönlich für sehr naiv. Nur weil ein Bug nicht offiziell bekannt und gefixt ist, heißt das nicht, dass die kriminelle Szene, Geheimdienste oder Wirtschaftsspionage Szene schon länger davon weiß.

Siehst du, du verdrehst es schon wieder.

Es ist doch ein gewaltiger Unterschied, ob jemand eine/wenige Sicherheitslücken exklusiv kennt die der Hersteller selber nicht kennt, oder ob jemand direkt vom Hersteller jede bekannte Sicherheitslücke exklusiv präsentiert bekommt.

Und die Frage, auf die Microsoft ja keine Antwort gibt ist ob überhaupt jede gemeldete Sicherheitslücke gepatcht wird, oder diese für die NSA vielleicht sogar offen gelassen wird.

Siehst du, du verdrehst es schon wieder.
Es ist doch ein gewaltiger Unterschied, ob jemand eine/wenige Sicherheitslücken exklusiv kennt die der Hersteller selber nicht kennt, oder ob jemand direkt vom Hersteller jede bekannte Sicherheitslücke exklusiv präsentiert bekommt.

Ich weiß jetzt nicht, wo für dich persönlich die Wertigkeit liegt, aber ich sehe ersteren Fall für unberechenbarer und gefährlich. Ich könnte wetten, dass hier deswegen auch Kopfgelder auf Bugs ausgesetzt werden, damit die Bugs nicht in der Szene versickern oder wenigstens ein Anreiz für nicht-kriminelle geliefert wird, überhaupt welche zu suchen. Wobei das wahrscheinlich nur ein Tropfen auf dem heißen Stein ist.


Und die Frage, auf die Microsoft ja keine Antwort gibt ist ob überhaupt jede gemeldete Sicherheitslücke gepatcht wird, oder diese für die NSA vielleicht sogar offen gelassen wird.

Nein, Microsoft betreibt kein Bugfixing von Sicherheitslöchern. Das macht nur Linux :freak: